დავით მაჭახელიძე

გამოქვეყნდა ინფორმაცია GRUB2 ჩამტვირთველში 21 დაუცველობის შესახებ, რომელთა უმეტესობა იწვევს ბუფერის გადადინებას და შეიძლება გამოყენებულ იქნას UEFI Secure Boot-ის გადამოწმებული ჩატვირთვის მექანიზმის გვერდის ავლით. პრობლემები ჯერჯერობით აღმოფხვრილია მხოლოდ პატჩის სახით. დისტრიბუციებში დაუცველობის აღმოფხვრის სტატუსის შეფასება შესაძლებელია ამ გვერდებზე: Debian, Ubuntu, SUSE, RHEL, Fedora. GRUB2-ში პრობლემების აღმოსაფხვრელად საკმარისი არ არის მხოლოდ პაკეტის განახლება, ასევე საჭიროა ახალი შიდა ციფრული ხელმოწერების გენერირება და ინსტალატორების, ჩამტვირთველების, ბირთვის პაკეტების, fwupd firmware-ის და shim შუალედური ფენის განახლება.

გამოვლენილი დაუცველობები: * CVE-2024-45774: ბუფერის გარეთ ჩაწერა სპეციალურად შემუშავებული JPEG-სურათების ანალიზისას.

• CVE-2024-45776, CVE-2024-45777: მთელი რიცხვის გადავსება სპეციალურად შექმნილი mo ფაილების წაკითხვისას, რაც იწვევს ბუფერის გარეთ ჩაწერას.
• CVE-2024-45778, CVE-2024-45779: მთელი რიცხვის გადავსება დაზიანებულ BFS ფაილურ სისტემასთან მუშაობისას, რაც იწვევს ბუფერის გადადინებას.
• CVE-2024-45780: მთელი რიცხვის გადავსება სპეციალურად შექმნილი tar არქივების დამუშავებისას, რაც იწვევს ბუფერის გარეთ ჩაწერას.
• CVE-2024-45781, CVE-2025-0677: ბუფერის გადადინება დაზიანებულ UFS ფაილურ სისტემასთან მუშაობისას.
• CVE-2024-45782, CVE-2025-1125: ბუფერის გადადინება სპეციალურად შექმნილი HFS დანაყოფის დამონტაჟებისას.
• CVE-2025-0622: მეხსიერებაზე წვდომა მისი გათავისუფლების შემდეგ მოდულებთან მანიპულირებისას, რამაც შეიძლება გამოიწვიოს თავდამსხმელის კოდის შესრულება.
• CVE-2025-0624: ბუფერის გადადინება ქსელური ჩატვირთვისას.
• CVE-2025-0678: ბუფერის გადადინება დაზიანებულ Squash4 ფაილურ სისტემასთან მუშაობისას.
• CVE-2025-0684: ბუფერის გადადინება Reiserfs ფაილურ სისტემაში სიმბოლურ ბმულებთან მანიპულირებისას.
• CVE-2025-0685: ბუფერის გადადინება JFS ფაილურ სისტემაში სიმბოლურ ბმულებთან მანიპულირებისას.
• CVE-2025-0685: ბუფერის გადადინება ROMFS ფაილურ სისტემაში სიმბოლურ ბმულებთან მანიპულირებისას.
• CVE-2025-0689: ბუფერის გადადინება სპეციალურად მოდიფიცირებულ UDF დანაყოფთან მუშაობისას.
• CVE-2025-0690: ბუფერის გადადინება კლავიატურიდან სპეციალურად შექმნილი მონაცემების მიღებისას.
• CVE-2025-1118: Lockdown-ის იზოლაციის რეჟიმის გვერდის ავლით და მეხსიერების თვითნებური შიგთავსის მოპოვება dump ბრძანების შესრულებით.
• CVE-2024-45775: შეცდომის კოდის შემოწმების არარსებობა მეხსიერების გამოყოფისას გადაცემული არგუმენტების გარჩევისას შეიძლება გამოიწვიოს IVT მონაცემების დაზიანება (Interrupt Vector Table).
• CVE-2024-45783: წვდომა ნულოვანი მაჩვენებლით არასწორი HFS+ ფაილური სისტემის დამონტაჟებისას.

Linux-ის დისტრიბუციების უმეტესობაში UEFI Secure Boot რეჟიმში გადამოწმებული ჩატვირთვისთვის გამოიყენება მცირე shim შუალედური ფენა, დამოწმებული Microsoft-ის ციფრული ხელმოწერით. ეს შუალედური ფენა ამოწმებს GRUB2-ს საკუთარი სერთიფიკატით, რაც დისტრიბუციების დეველოპერებს საშუალებას აძლევს არ დაამოწმონ ბირთვისა და GRUB-ის ყოველი განახლება Microsoft-ში. GRUB2-ში დაუცველობები იძლევა საშუალებას მიაღწიოთ საკუთარი კოდის შესრულებას shim-ის წარმატებული შემოწმების შემდეგ, მაგრამ ოპერაციული სისტემის ჩატვირთვამდე, შეჭრით ნდობის ჯაჭვში Secure Boot-ის აქტიურ რეჟიმში და მიიღოთ სრული კონტროლი შემდგომ ჩატვირთვის პროცესზე, მაგალითად, სხვა ოპერაციული სისტემის ჩატვირთვისთვის, ოპერაციული სისტემის კომპონენტების მოდიფიკაციისთვის და Lockdown დაცვის გვერდის ავლით.

დაუცველობის დაბლოკვისთვის ციფრული ხელმოწერის გაუქმების გარეშე, დისტრიბუციებს შეუძლიათ გამოიყენონ SBAT მექანიზმი (UEFI Secure Boot Advanced Targeting), რომლის მხარდაჭერა ხორციელდება GRUB2-ისთვის, shim-ისთვის და fwupd-ისთვის Linux-ის ყველაზე პოპულარულ დისტრიბუციებში. SBAT შეიქმნა Microsoft-თან ერთად და გულისხმობს UEFI კომპონენტების შესრულებად ფაილებში დამატებითი მეტამონაცემების დამატებას, რომლებიც მოიცავს ინფორმაციას მწარმოებლის, პროდუქტის, კომპონენტისა და ვერსიის შესახებ. მითითებული მეტამონაცემები დამოწმებულია ციფრული ხელმოწერით და შეიძლება ცალკე შევიდეს UEFI Secure Boot-ისთვის დაშვებული ან აკრძალული კომპონენტების სიებში.

SBAT იძლევა საშუალებას დაბლოკოს ციფრული ხელმოწერის გამოყენება კომპონენტების ცალკეული ვერსიების ნომრებისთვის Secure Boot-ისთვის გასაღებების გაუქმების აუცილებლობის გარეშე. SBAT-ის საშუალებით დაუცველობის დაბლოკვა არ მოითხოვს UEFI-ის გაუქმებული სერთიფიკატების სიის (dbx) გამოყენებას, მაგრამ ხდება შიდა გასაღების შეცვლის დონეზე ხელმოწერების ფორმირებისთვის და GRUB2-ის, shim-ის და დისტრიბუციების მიერ მოწოდებული სხვა ჩატვირთვის არტეფაქტების განახლებისთვის. SBAT-ის დანერგვამდე სერთიფიკატების გაუქმებული სიის განახლება (dbx, UEFI Revocation List) იყო სრული დაბლოკვის აუცილებელი პირობა, რადგან თავდამსხმელს, გამოყენებული ოპერაციული სისტემის მიუხედავად, შეეძლო UEFI Secure Boot-ის კომპრომეტირებისთვის გამოეყენებინა ჩატვირთვის მედია GRUB2-ის ძველი დაუცველი ვერსიით, დამოწმებული ციფრული ხელმოწერით.